KI-Tools wie Claude von Anthropic sind aus dem Arbeitsalltag vieler Selbstständiger und Unternehmen nicht mehr wegzudenken. Sie helfen beim Schreiben von Texten, der Analyse von Daten, der Beantwortung von Kundenfragen und vielem mehr. Doch mit dem Einsatz von KI-Tools kommen auch wichtige Datenschutzfragen auf – besonders für alle, die mit agentischen KI-Tools arbeiten und die in Europa tätig sind und unter die DSGVO fallen. Die KI-Technologie schreitet rasend schnell voran und kaum jemand hat bisher wirklich durchdacht, was es bedeutet, wenn KI-Agenten z. B. im eingeloggten Web-Backend arbeiten, wie das Claude Cowork kann. In diesem Artikel beantworte ich die häufigsten Fragen rund um das Thema Claude und Datenschutz, die v. a. für Blogger relevant sind.

Hinweis: Dieser Artikel stellt keine Rechtsberatung dar. Bei konkreten rechtlichen Fragen wende dich bitte an eine qualifizierte Datenschutzberatung oder einen Rechtsanwalt. Das hier ist mein aktueller Wissensstand und ich werde diesen Blogartikel nach bestem Wissen aktuell halten.

Claude und Datenschutz: Ein guter Hinweis in der Hype-Phase!
Eines der ersten Kommentare auf meine Claude-Begeisterung: Datenschutz. Das hat mich dazu inspiriert, diesen Blogartikel zu schreiben!
Die Inhalte dieses Blogartikels:
1. Wie ich Claude für mich entdeckt habe
2. Welche Bereiche deines Blogs sind in der KI-Ära datenschutzrechtlich relevant?
2.1. Kontaktformulare
2.2. Newsletter-Abonnenten
2.3. Kundendaten und Bestellhistorien
2.4. Bilder von realen Personen
2.5. Analytics und Tracking
2.6. Kommentare: hier ist der Datenschutz besonders heikel!
3. Liest Claude die E-Mail-Adressen meiner Blog-Kommentatoren aus?
4. Muss ich eine Einwilligung einholen, wenn ich Kundendaten oder -bilder bei Claude hochlade?
5. Werden meine Eingaben bei Claude für das Training der KI verwendet?
6. Muss ich mit Anthropic einen Auftragsverarbeitungsvertrag (AVV) abschließen?
7. Wie kann ich Claude garantiert DSGVO-sicher nutzen?
8. Wo werden meine Daten bei Anthropic gespeichert und ist das mit der DSGVO vereinbar?
9. Welche Rechte haben Personen, deren Daten ich bei Claude eingegeben habe?
10. Darf ich Claude für die Verarbeitung von besonders sensiblen Daten nutzen?
11. Jemand hat meine personenbezogenen Daten bei Claude eingegeben: Was jetzt?
12. Muss ich Claude in meine Datenschutzerklärung aufnehmen?
13. Was muss ich in meine Datenschutzerklärung schreiben, wenn ich Claude nutze?
14. Ist die DSGVO KI-ready?
15. Mein Fazit: Claude und Datenschutz – kein Widerspruch, aber Sorgfalt ist gefragt

Wie ich Claude für mich entdeckt habe

Als ChatGPT Ende 2022 auf den Markt kam, war ich sofort begeistert: Wow, was für eine digitale Revolution sich da direkt vor meinen Augen entfaltet hat! Ich habe mit ChatGPT viel experimentiert und habe den KI-Chatbot quasi als mächtigeren Google-Ersatz genutzt. Relativ schnell habe ich eigene CustomGPTs erstellt, z. B. für das Brainstorming von neuen Blogartikel-Ideen oder um geniale Claims zu entwickeln. Diese CustomGPTs nutze ich immer noch in meinen Blog-Kursen. Aber: Ich habe ChatGPT immer nur in der normalen Browser-Version benutzt: Ich habe dort meine Prompts reingeschrieben und mit ChatGPT z. B. Texte für Social-Media-Postings oder Werbeanzeigen geschrieben, die ich dann aus dem ChatGPT-Tab wieder herauskopiert habe, um sie woanders wieder einzufügen. Mehr habe ich mit ChatGPT nicht gemacht, denn zum einen war ChatGPT für mich nicht so „zugänglich“ (der OpenAI-Browser „Atlas“ war mir zu umständlich) und zum anderen hatte ich ethische Bedenken.

Klar, die KI-Chatbots bieten uns neue digitale Chancen, aber sie können auch destruktiv sein. Als Werbetexterin gehöre ich (gemeinsam z. B. mit Übersetzern) zu den Berufsfeldern, die als erstes von KI-Chatbots weggefegt wurden. Ich empfand es als unfair, dass sich OpenAI & Co. hemmungslos bei meinen Texten und Blogartikeln bedienten, um ihre Sprachmodelle zu trainieren – ohne mir aber etwas im Gegenzug zurückzugeben, wie das z. B. Googe jahrelang getan hatte (ich habe von Google zigtausende Klicks auf meine Website bekommen – und dadurch Kunden und Umsatz). Hinzu kamen noch die Bedenken bezüglich der Umwelt: Die KI-Rechenzentren brauchen Unmengen von Wasser und Strom. Und dann war da noch die Sache mit der Moral: Die „Move-fast-and-break-Things“-Mentalität ist halt nur zu einem gewissen Grad cool. Dieses Hin und Her bei der Frage, ob OpenAI jetzt nun gemeinnützig ist und der ganzen Menschheit zugute kommt – oder doch nicht, weil das große Geld winkt, hat meine Begeisterung ziemlich gedämpft. Menschheit, quo vadis?

In meinem Newsletter vom 11. März 2026 habe ich folgendes geschrieben:

OpenAI, das Unternehmen hinter ChatGPT, steht in der Kritik. Kurzgesagt: OpenAI-Präsident und Mitgründer Greg Brockman spendete im vergangenen Jahr rund 25 Millionen Dollar an ein Pro-Trump-Komitee. Damit zählt er zu den größten Einzelspendern aus der Tech-Branche an die MAGA-Bewegung. Dann der Deal mit dem Pentagon: Im Februar 2026 schloss OpenAI eine Vereinbarung mit dem US-Verteidigungsministerium. Auch die Einwanderungsbehörde ICE setzt ChatGPT-Technologie ein. Die Befürchtung: dass die Technologie für autonome Waffen und für die massenhafte Überwachung der Bevölkerung eingesetzt werden könnte.

Ursprünglich war Anthropic, der größte Wettbewerber von OpenAi, der KI-Lieferant des Pentagons. Aber: Anthropic weigerte sich, diesen Deal zu unterzeichnen. Anthropic wollte seine ethischen Nutzungsbedingungen nicht aufweichen. OpenAI hingegen setzte andere Prioritäten und, ZACK, war der Deal unterzeichnet!

Schau dir dieses englischsprachige-YouTube-Video an für die genauen Hintergründe.

Die Folge: Viele Leute kündigen jetzt ihr ChatGPT-Abo. Die Quit GPT-Bewegung hat schon über 4 Millionen Teilnehmer :-o

Viele von diesen Menschen wandern jetzt zu Anthropic ab. Das ist das Unternehmen, das den KI-Chatbot Claude entwickelt hat.

In den letzten Wochen höre und lese ich regelmäßig, dass Frauen KI 25 % langsamer adaptieren, als Männer. Und dass wir diesen „KI-Gender-Gap“ unbedingt schließen müssten, damit Frauen nicht schon wieder abgehängt werden. Schließlich sind „weibliche Jobs“ die ersten, die von der KI ersetzt werden: Virtuelle Assistenzen, Sekretärinnen-Jobs, Recherchen, Schreibtätigkeiten, Terminplanung usw. Was da oft für mich mitschwingt, ist der leise Vorwurf an Frauen, dass sie halt technisch nicht so versiert seien und sich doch einfach nur ein bisschen mehr mit KI beschäftigen müssten, um aufzuholen. Aber: Nicht die Technik ist das Problem! Frauen adaptieren KI wahrscheinlich deshalb langsamer, weil sie mehr moralische Bedenken haben. Fragen, wie Umweltschutz und gerechte Arbeitsbedingungen, sind für viele Frauen oft wichtiger als für Männer. Und: Frauen machen sich mehr Gedanken/Sorgen um die gesellschaftlichen Auswirkungen von KI. Dieses ungute Gefühl kann man nicht mit einem „Beginner-KI für Frauen“ beiseitewischen – es hat viel tiefliegendere Ursachen.

Und dann kommt da Anthropic daher, das Unternehmen hinter Claude, das von 7 ehemaligen und von OpenAI enttäuschten Mitarbeitern gegründet wurde. Was Anthropic von anderen KI-Firmen unterscheidet, ist der Ansatz namens „Constitutional AI“ – grundlegende Prinzipien und Verhaltensweisen werden in die KI selbst eingebaut, statt nachträglich hinzugefügt zu werden, um moralische Probleme auszubügeln. Das ist schon mal mehr, als OpenAI und andere KI-Unternehmen machen. Klar, auch Anthropic ist nicht perfekt: Da ist z. B. das ständige Angstmarketing von CEO Dario Amodei. Und dass die Anthropic-Server in den USA stehen, also einem Land, das mittlerweile offen feindselig gegenüber der EU auftritt, ist auch nicht gerade vertrauenserweckend. Ich sehe die Probleme und die Widersprüche.

Und dennoch: für mich ist Claude die ethisch bessere Wahl, als OpenAI. Nachdem der Pentagon-Deal mit Anthropic geplatzt ist, wusste ich: Jetzt ist es Zeit für mich, zu Claude zu wechseln. So bin ich im März 2026 mit einem Kopfsprung in mein neues KI-Abenteuer gesprungen. Und jetzt, mit Claude, habe ich das Gefühl: Ja, die KI-Revolution ist jetzt bei mir wirklich angekommen! Jetzt ist KI für mich wirklich ein nützlicher Assistent – und nicht einfach nur ein Sprachmodell, das teilweise sehr unterschiedliche Tagesformen hat! Ich experimentiere begeistert mit Claude und übergebe ihm zig To-Dos rund um meinen Blog (hier ist eine Liste mit 10+ Aufgaben, die Claude schon für meinen Blog übernommen hat)! Und genau bei so einem Experiment wurde mir durch die Kommentare klar: Hier sind krasse Datenschutz-Themen, die ich selbst auch nicht gleich gesehen habe!

Die Kommentarfunktion in Blogs hat ein Datenschutz-Problem.
Ninas Kommentar hat mir einen blinden Fleck aufgezeigt: Ja, klar, KI kann theoretisch die E-Mail-Adressen meiner Kommentatoren auslesen, wenn ich die Kommentar-Übersicht öffne! Daran habe ich gar nicht gedacht! :-o

Welche Bereiche deines Blogs sind in der KI-Ära datenschutzrechtlich relevant?

Wo entstehen auf deinem Blog überhaupt personenbezogene Daten und wo könnten diese ungewollt in ein KI-Tool fließen?

Kontaktformulare

Nachrichten über dein Kontaktformular enthalten fast immer Name und E-Mail-Adresse, manchmal auch Telefonnummer oder konkrete Anliegen. Diese Daten landen häufig direkt in deinem WordPress-Backend oder per E-Mail in deinem Postfach – beides Orte, die du nicht leichtfertig einem KI-Tool zeigen solltest. Die einfachste Lösung: Nutze kein Kontaktformular! Und zwar aus zwei Gründen: Kontaktformulare sind oft ein Einfallstor für Spam. Und: Ich empfinde sie als „90er“ – also als veraltet. Lass die Leute einfach eine normale E-Mail schreiben, wenn sie dich kontaktieren wollen!

Newsletter-Abonnenten

Wenn du einen Newsletter anbietest und ihn über ein Plugin in deine WordPress-Seite integrierst, ist die Abonnentenliste wahrscheinlich irgendwo in deinem Backend einsehbar. Dann gilt dasselbe Prinzip: Namen und E-Mail-Adressen sind hochsensibel und dürfen nicht unbeabsichtigt in KI-Prompts landen. Ich nutze für meinen Newsletter Active Campaign, mein Blog und mein Newsletter sind komplett getrennte Systeme. Über meinen Blog gibt es also keine Möglichkeit, die E-Mail-Adressen meiner Abonnenten auszulesen.

Kundendaten und Bestellhistorien

Betreibst du neben dem Blog auch einen Shop bzw. verkaufst digitale Produkte – und liegen alle diese Funktionen (Blog & Shop) bei einem Anbieter? Dann sind in deinem Blog-System möglicherweise Kaufhistorien, Rechnungsadressen oder Zahlungsinformationen einsehbar. Diese Daten haben in keinem KI-Tool etwas verloren – ohne ausdrückliche Rechtsgrundlage und entsprechende Schutzmaßnahmen. Ich nutze zum Verkaufen meiner Onlinekurse einen Zahlungsdienstleister, den ich nicht mit meinem Blog verbunden habe. Hier gibt es also für mich keine Datenschutz-Probleme.

Bilder von realen Personen

Fotos von Kunden, Veranstaltungsteilnehmern oder Mitarbeitern, die du für deinen Blog verwendest, sind ebenfalls personenbezogene Daten. Wenn du solche Bilder in ein KI-Tool hochlädst – etwa um sie zu bearbeiten oder zu beschriften – brauchst du dafür eine Rechtsgrundlage, in der Regel die ausdrückliche Einwilligung der abgebildeten Personen.

Analytics und Tracking

Tools wie Google Analytics erfassen das Verhalten deiner Besucher. Diese Daten fließen zwar nicht direkt in Claude – aber wenn du Berichte oder Exports davon in ein KI-Tool eingibst, um sie analysieren zu lassen, können auch dort personenbezogene oder personenbeziehbare Informationen wie z. B. IP-Adressen enthalten sein. Eine Lösung könnte sein, dass du Analytics-Tools nutzt, die sehr datensparsam sind, wie z. B. Statify oder Koko Analytics.

Kommentare: hier ist der Datenschutz besonders heikel!

Wer unter deinen Artikeln kommentiert, hinterlässt in deiner WordPress-Datenbank Name, E-Mail-Adresse und ggf. Website-URL. Im Frontend sehen Besucher nur den Namen und die Website, aber im eingeloggten Backend sind die E-Mail-Adressen sichtbar. Gibst du einem KI-Tool über eine Browser-Extension Zugriff auf dein Backend, kann es diese Daten erfassen, ohne dass du es bewusst steuerst. Das ist der wahrscheinlich größte Datenschutz-Stolperstein für Blogger! Daher sind wir jetzt auch gleich bei einer sehr spannenden Frage:

Liest Claude die E-Mail-Adressen meiner Blog-Kommentatoren aus?

Ein Datenschutzaspekt, der beim Einsatz von KI-Tools oft übersehen wird: die Daten deiner Blog-Kommentatoren. Wenn jemand unter deinem Blogartikel kommentiert, speichert WordPress standardmäßig Name, E-Mail-Adresse und ggf. Website-URL in deiner Datenbank. Diese E-Mail-Adresse ist für Besucher deines Blogs nicht sichtbar, aber sie ist im eingeloggten WordPress-Backend sichtbar, zum Beispiel in der Kommentarverwaltung.

Das Problem mit Browser-basierten KI-Tools: Wenn du ein KI-Tool wie Claude über eine Browser-Extension nutzt und dabei im WordPress-Backend arbeitest, kann das Tool theoretisch alles erfassen, was auf dem aktiven Tab sichtbar ist. Bist du dabei auf der Kommentarverwaltungsseite (/wp-admin/edit-comments.php), wären E-Mail-Adressen deiner Kommentatoren Teil des erfassten Seitencontents.

Das bedeutet: Selbst wenn du Claude nur für das Überarbeiten von Artikeln nutzen möchtest, können bei unvorsichtiger Nutzung personenbezogene Daten Dritter übermittelt werden – ohne dass du es merkst und ohne dass diese Personen eingewilligt haben.

Was du als Blogger tun kannst:

  • Schließe die Kommentarverwaltung in deinem Blog-Backend, bevor du ein KI-Tool über eine Browser-Extension aktivierst.
  • Arbeite mit KI-Tools nur auf den Seiten, wo du weißt, was sichtbar ist. Beispiel: Wenn du die Claude Browser-Erweiterung nutzt, um Kommentare zu beantworten, mache das nicht eingeloggt in deinem Backend, sondern direkt im veröffentlichten Blogartikel, wo E-Mail-Adressen deiner Kommentatoren nicht sichtbar sind.
  • Exportiere Artikeltexte ohne Kommentare und arbeite damit – statt das KI-Tool live ins Backend zu lassen.
  • Überlege dir, ob es in der KI-Ära sinnvoll sein könnte, deine Kommentarfunktion zu deaktivieren. Und: Wenn du bestehende Kommentare hast, könntest du sie alle löschen. Ich überlege noch, ob das für mich eine Option ist. Einerseits würde ich das sehr schade finden, weil ich die Kommentare unter meinen Blogartikeln sehr schätze. Andererseits: Damit hätte ich das vielleicht größte Datenschutzproblem meines Blogs gelöst!

Was du als Kommentator tun kannst:

  • Benutze beim Kommentieren auf Blogs eine Wegwerf- oder Fake-E-Mail-Adresse. WordPress überprüft nicht, ob die E-Mail-Adresse, die du eingibst, tatsächlich existiert.
  • Benutze nur deinen Vornamen. Indem du deine Website-URL in das Kommentarfeld eingibst, weiß der jeweilige Blogger auch so, wer du bist.

Und was ist mit dem LLM-Training? Für das Training großer Sprachmodelle wurden öffentliche Webseiten in großem Umfang gecrawlt. Kommentartexte und angezeigte Namen waren dabei öffentlich sichtbar und könnten erfasst worden sein. E-Mail-Adressen hingegen zeigt WordPress im Frontend standardmäßig nicht an – sie waren also für Crawler in der Regel nicht zugänglich. Eine Ausnahme: wenn jemand seine E-Mail-Adresse im Kommentartext selbst geschrieben hat.

Muss ich eine Einwilligung einholen, wenn ich Kundendaten oder -bilder bei Claude hochlade?

Das ist wohl die häufigste Frage, die sich stellt, wenn man Claude für die Arbeit mit Kundenprojekten nutzt. Die kurze Antwort: Ja, in der Regel brauchst du eine Rechtsgrundlage – und meistens ist das die Einwilligung.

Nach der Datenschutz-Grundverordnung (DSGVO) darfst du personenbezogene Daten deiner Kunden nur verarbeiten, wenn du dafür eine gültige Rechtsgrundlage hast (Art. 6 DSGVO). Wenn du z. B. Fotos von Kunden, deren Namen, E-Mail-Adressen, Bestellhistorien oder andere personenbezogene Informationen in Claude eingibst, verarbeitest du diese Daten – und Anthropic erhält sie als Drittanbieter.

Passend dazu ist der folgende Kommentar:

Eine wichtige Datenschutz-Frage: Muss ich Kunden um Erlaubnis fragen, wenn ich Claude Dokumente auf meinem Computer sortieren lasse?

Ich habe hunderte Dateien in meinem Download-Ordner. Soll ich jetzt alle meine Kunden (ebenfalls hunderte) um Erlaubnis fragen, wenn ich diesen Ordner von KI sortieren lassen will? Und was, wenn nur eine Person widerspricht, die vielleicht in meinen Dateien gar nicht vorkommt – was ich aber nur herausfinde, wenn ich die KI meine Bilder sortieren lasse?

Die Vorstellung, dass wir jeden Kunden einzeln um Erlaubnis bitten, bevor wir z. B. die KI unsere eigenen Dateien sortieren lassen, ist in der Praxis schlicht nicht umsetzbar. Das wissen auch Datenschutzbehörden. Was tatsächlich zählt, sind verhältnismäßige und vernünftige Maßnahmen:

  1. Berechtigtes Interesse als Rechtsgrundlage: Für interne Organisationsaufgaben wie das Sortieren von Dateien kannst du dich auf berechtigtes Interesse stützen. Wenn du dabei keine sensiblen Daten (z. B. Biometrie, Gesundheitsdaten, religiöse Überzeugungen) verarbeitest und die Daten nicht für andere Zwecke verwendest.
  2. Deine Datenschutzerklärung anpassen: Wenn du KI-Tools für interne Prozesse nutzt, solltest du das in deiner Datenschutzerklärung transparent machen – nicht als Erlaubnisanfrage an jeden Kunden, sondern als allgemeine Information.
  3. Minimierung: Der beste Schutz ist, KI nur dort einzusetzen, wo wirklich keine sensiblen Kundendaten zu erwarten sind oder die Dateien vor der KI-Verarbeitung zu bereinigen, wo es möglich ist.

Werden meine Eingaben bei Claude für das Training der KI verwendet?

Laut der Datenschutzrichtlinie von Anthropic (Stand: Januar 2026) können deine Eingaben (Prompts) und Ausgaben (Outputs) für das Training der Modelle verwendet werden – es sei denn, du widersprichst dem aktiv. Wenn du Claude.ai als Privatperson oder im Rahmen eines Verbraucherkontos nutzt, kannst du in deinen Kontoeinstellungen unter „Privacy Settings“ das Training mit deinen Daten deaktivieren (Opt-out).

Klicke in Claude links unten auf deinen Nutzernamen, dann auf „Settings“ –> „Privacy“. Das empfehle ich dir UNBEDINGT!

Für gewerbliche Kunden, die die Anthropic API oder Claude for Work nutzen, gelten andere Regelungen: dort agiert Anthropic als Auftragsverarbeiter, und die Daten werden standardmäßig nicht für das Training verwendet.

Praktischer Tipp: Wenn du sensible Kunden- oder Geschäftsdaten verarbeitest, nutze nach Möglichkeit die Business-/API-Version und überprüfe die entsprechenden Datenverarbeitungsverträge (AVV/DPA).

Muss ich mit Anthropic einen Auftragsverarbeitungsvertrag (AVV) abschließen?

Wenn du Claude im geschäftlichen Bereich einsetzt und dabei personenbezogene Daten Dritter (z. B. deiner Kunden) verarbeitest, ist die Frage nach einem Auftragsverarbeitungsvertrag (AVV) – auf Englisch: Data Processing Agreement (DPA) – hochrelevant.

Nach Art. 28 DSGVO bist du verpflichtet, mit jedem Auftragsverarbeiter einen AVV abzuschließen. Anthropic bietet für seine kommerziellen Kunden entsprechende Verträge an. Wenn du Claude über die API oder Claude for Work/Teams nutzt, kannst du bei Anthropic einen solchen Vertrag anfragen. Für reine Privatnutzer oder Kleinunternehmer, die nur die öffentliche Version auf Claude.ai nutzen, liegt die Situation komplizierter – hier solltest du genau abwägen, welche Daten du überhaupt eintippst.

Der DPA gilt nur für kommerzielle Pläne (API, Team, Enterprise) und nicht für Free- oder Pro-Accounts (also die Tarife, die die meisten Blogger haben). Wenn du Claude als Blogger mit einem Pro-Account nutzt, greift stattdessen die allgemeine Datenschutzrichtlinie, und du bist nicht automatisch durch einen AVV abgesichert. Wenn du mit Claude Pro an Inhalten arbeitest, die personenbezogene Daten Dritter berühren könnten (zum Beispiel Kundendaten, E-Mail-Adressen von Kommentatoren, Leserdaten) dann fehlt dir die DSGVO-konforme Vertragsgrundlage.

Deine Optionen:

  1. Claude for Work (Team-Plan) abonnieren: dann greift der DPA automatisch. Kostet mehr als Pro, bietet aber den datenschutzrechtlichen Rahmen für gewerbliche Nutzung.
  2. Weiter mit Pro, aber dann sehr bewusst damit umgehen, welche Daten du Claude zeigst, also keine personenbezogenen Kundendaten einfließen lassen.
  3. Rechtlich beraten lassen, ob deine konkrete Nutzung überhaupt einen AVV erfordert. Das hängt davon ab, was du Claude tatsächlich verarbeitest.

Faustregel: Keine personenbezogenen Kundendaten in Claude eingeben, ohne vorher die rechtliche Grundlage zu klären und ggf. einen AVV abzuschließen. Denn: Auch wer „bezahlt“, also Pro-Mitglied ist, hat damit noch keine kommerzielle Absicherung im DSGVO-Sinne.

Wie kann ich Claude garantiert DSGVO-sicher nutzen?

Um Claude mit einem AVV (Auftragsverarbeitungsvertrag) nutzen zu können, brauchst du einen kommerziellen Tarif. Die kleinste dieser Optionen mit AVV ist der Team Plan. Dieser kostet aktuell 25 Dollar pro Person und Monat bei jährlicher Abrechnung, oder 30 Dollar bei monatlicher Abrechnung. Mindestens 5 Personen sind erforderlich, das macht also mindestens 125 Dollar pro Monat (jährlich) als Einstieg. Für Einzelblogger gibt es aktuell keine bezahlbare Mittelweg-Option mit vollem AVV-Schutz. Das ist eine Lücke im Angebot von Anthropic: Wer solo arbeitet und trotzdem datenschutzkonform arbeiten möchte, steht vor einem echten Datenschutz-Problem.

Wo werden meine Daten bei Anthropic gespeichert und ist das mit der DSGVO vereinbar?

Anthropic ist ein US-amerikanisches Unternehmen mit Sitz in San Francisco. Das bedeutet, dass deine Daten in der Regel auf Servern in den USA verarbeitet und gespeichert werden. Für europäische Nutzer stellt sich daher die Frage der Drittlandübermittlung nach Art. 44 ff. DSGVO.

Anthropic gibt in seiner Datenschutzrichtlinie an, dass Datentransfers in die USA und andere Länder außerhalb des EWR auf Basis von Standardvertragsklauseln (SCCs – Standard Contractual Clauses) oder Angemessenheitsbeschlüssen der EU-Kommission erfolgen. Für europäische Nutzer (EWR, UK, Schweiz) ist die zuständige Datenverantwortliche Anthropic Ireland, Limited mit Sitz in Dublin.

Das bedeutet: Anthropic hat rechtliche Mechanismen implementiert, um die Datentransfers DSGVO-konform zu gestalten. Dennoch solltest du als Unternehmer diese Transfers in deinem Verarbeitungsverzeichnis dokumentieren und in deiner Datenschutzerklärung transparent machen.

Ok, ich gebe zu: Dieses Kapitel habe ich mithilfe der KI geschrieben 😄

Welche Rechte haben Personen, deren Daten ich bei Claude eingegeben habe?

Die DSGVO gewährt betroffenen Personen zahlreiche Rechte – darunter das Recht auf Auskunft, Berichtigung, Löschung („Recht auf Vergessenwerden“), Einschränkung der Verarbeitung und Datenportabilität. Das wird bei KI-Tools besonders kompliziert, weil Eingaben möglicherweise für das Modelltraining verwendet wurden.

Als Verantwortliche(r) bist du verpflichtet, Betroffenenanfragen entgegenzunehmen und weiterzuleiten. Anthropic bietet Nutzern die Möglichkeit, Anfragen zur Löschung oder Auskunft an privacy@anthropic.com zu stellen. Einzelne Konversationen können direkt in der App gelöscht werden und werden laut Anthropic innerhalb von 30 Tagen auch aus den Backend-Systemen entfernt.

Wichtig: Wenn Daten bereits ins Modelltraining eingeflossen sind, ist eine vollständige Löschung technisch möglicherweise nicht durchführbar. Anthropic weist in seiner Datenschutzrichtlinie selbst darauf hin, dass aufgrund der Komplexität großer Sprachmodelle nicht immer garantiert werden kann, dass alle personenbezogenen Daten vollständig aus den Modellen entfernt werden können.

Darf ich Claude für die Verarbeitung von besonders sensiblen Daten nutzen?

Die DSGVO stuft bestimmte Datenkategorien als besonders schützenswert ein (Art. 9 DSGVO): dazu gehören Gesundheitsdaten, biometrische Daten, Daten zur religiösen Überzeugung, zur ethnischen Herkunft, zu politischen Meinungen oder zur sexuellen Orientierung.

Für diese Datenkategorien gelten deutlich strengere Anforderungen. Eine Verarbeitung ist nur unter engen Voraussetzungen erlaubt, z. B. mit ausdrücklicher Einwilligung oder wenn eine rechtliche Verpflichtung besteht. Das Eingeben von Gesundheitsdaten deiner Kunden oder Patienten in Claude ist ohne entsprechende Rechtsgrundlage und technisch-organisatorische Schutzmaßnahmen in der Regel nicht zulässig.

Auch Anthropic selbst schließt in seiner Nutzungsrichtlinie die missbräuchliche Verwendung von sensiblen Daten wie biometrischen oder Gesundheitsdaten ohne entsprechende Einwilligung aus.

Ich erhebe solche besonders sensiblen Daten nicht – und ich vermute, dass die meisten Blogger das nicht tun. Aber: Das Thema der sensiblen Daten wird für dich relevant, wenn du in einem Bereich arbeitest, der regelmäßig solche Daten berührt, z. B. als Ärztin, Therapeut oder Versicherungsmaklerin. Es empfiehlt sich, sensible Kundendaten nicht mit Plugins mit dem Blog zu verbinden. Halte sie am besten komplett getrennt!

Jemand hat meine personenbezogenen Daten bei Claude eingegeben: Was jetzt?

Stell dir vor, du erfährst, dass jemand deine E-Mail-Adresse, deinen Namen oder andere persönliche Informationen in Claude eingegeben hat, ohne dein Wissen. Was passiert dann mit diesen Daten? Können sie wildfremde Leute irgendwo im Internet wiederfinden? Keine Sorge: Deine Daten sind nicht öffentlich einsehbar.

Claude ist kein öffentliches Verzeichnis. Was jemand in Claude eingibt, landet nicht im Internet und ist nicht für andere Nutzer sichtbar. Claude gibt die Informationen aus einem Gespräch nicht an andere Nutzer weiter und veröffentlicht sie nicht.

Was stattdessen passiert: Die eingegebenen Daten werden als Teil der Konversation an Anthropics Server übertragen, dort verarbeitet und, je nach Einstellungen, für eine bestimmte Zeit gespeichert. Andere Menschen, die Claude nutzen, haben keinen Zugriff darauf.

Was aber trotzdem passiert sein könnte: Auch wenn deine Daten nicht öffentlich sind, gibt es berechtigte Datenschutzfragen:

  • Die Daten wurden an einen US-amerikanischen Server übertragen. Das ist eine Drittlandübermittlung im Sinne der DSGVO
  • Anthropic könnte die Daten intern verarbeiten, zum Beispiel für Sicherheitsprüfungen
  • Falls die Person ein Consumer-Account nutzt und das Modelltraining aktiviert hat, könnten die Daten in anonymisierter Form in Trainingsdaten einfließen

Was du tun kannst: Als betroffene Person hast du nach der DSGVO Rechte – auch gegenüber Anthropic:

  • Auskunftsrecht: Du kannst anfragen, welche Daten über dich gespeichert sind
  • Löschungsrecht: Du kannst die Löschung beantragen
  • Kontakt: privacy@anthropic.com

Ein Haken dabei: Wenn Daten bereits ins Modelltraining eingeflossen sind, ist eine vollständige Löschung technisch nicht immer möglich – das räumt Anthropic selbst ein.

Die wichtigste Erkenntnis: Das eigentliche Risiko liegt nicht darin, dass deine Daten plötzlich öffentlich auftauchen. Das Risiko liegt darin, dass sie ohne dein Wissen und ohne Rechtsgrundlage verarbeitet wurden und dass du als betroffene Person darüber keine Kontrolle hattest. Genau das ist der Kern der DSGVO: nicht nur Geheimhaltung, sondern Selbstbestimmung über die eigenen Daten.

Muss ich Claude in meine Datenschutzerklärung aufnehmen?

Angenommen, du nutzt Claude nur für „einfache“ Tätigkeiten rund um deinen Blog:

  • Blogartikel schreiben über allgemeine Themen.
  • Meta Descriptions formulieren.
  • Texte zusammenfassen.
  • Ideen brainstormen.

Dann findet keine Verarbeitung personenbezogener Daten statt, und die DSGVO-Informationspflicht greift nicht. Die Informationspflicht nach Art. 13/14 DSGVO greift nur, wenn du personenbezogene Daten verarbeitest.

Aber: Wenn du Claude im geschäftlichen Kontext einsetzt und dabei personenbezogene Daten verarbeitest, musst du darüber in deiner Datenschutzerklärung informieren. Das ergibt sich aus der Informationspflicht nach Art. 13/14 DSGVO. Denn: Bist du wirklich sicher, dass keine Personendaten in die KI einfließen?

Das ist in der Praxis schwerer zu garantieren als es klingt. Denn personenbezogene Daten können unbeabsichtigt einfließen, zum Beispiel wenn du:

  • E-Mails oder Nachrichten mit Claude bearbeitest.
  • Leserfeedback oder Kommentare einbindest.
  • Über konkrete Personen schreibst (auch öffentliche).
  • Screenshots mit sichtbaren Namen hochlädst: hier wäre die Überlegung, ob du die Namen unkenntlich machst.

Was muss ich in meine Datenschutzerklärung schreiben, wenn ich Claude nutze?

Ich kann aus rechtlichen Gründen hier keinen Textvorschlag für dich formulieren. Aber folgendes solltest du in deine Datenschutzerklärung aufnehmen: den Einsatz von Claude/Anthropic als Tool zur Datenverarbeitung, den Zweck der Verarbeitung, die Rechtsgrundlage, den Hinweis auf die Drittlandübermittlung in die USA samt der eingesetzten Schutzmaßnahmen (SCCs), sowie einen Verweis auf die Datenschutzrichtlinie von Anthropic. Wenn du einen Team-Plan hast und die AVV abgeschlossen hast, solltest du Anthropic auch in deinem Verarbeitungsverzeichnis als Auftragsverarbeiter aufführen.

Ist die DSGVO KI-ready?

Die DSGVO wurde 2018 verabschiedet, also Jahre bevor ChatGPT, Claude und Co. die Welt auf den Kopf stellten. Damals traf sie die Blog- und Forenszene hart. Obwohl die politische Intention eher auf große Datenkraken wie Facebook und Google abzielte, galt die Verordnung für alle – auch für kleine Blogs mit Kommentarfunktion. Denn wer Kommentare erlaubt, speichert automatisch Namen, E-Mail-Adressen und IP-Adressen. Viele Bloggerinnen und Forenbetreiber hatten Angst vor Abmahnungen und schalteten ihre Seiten ab. Ein echter Verlust für die digitale Öffentlichkeit. Und heute? Dieselbe Kommentarfunktion, die damals das Datenschutzproblem war, ist heute wieder das Problem – nur diesmal nicht wegen der Speicherung, sondern wegen der KI-Verarbeitung.

Daher muss man sich heute fragen: Ist die DSGVO überhaupt noch zeitgemäß? Und was ändert sich jetzt mit dem neuen EU AI Act?

Die DSGVO gilt – auch für KI

Die kurze Antwort: Die DSGVO ist nicht überholt, aber sie wurde nie speziell für KI gemacht. Die DSGVO kennt keine Ausnahme für KI-Systeme. Im Gegenteil: Gerade bei KI-Anwendungen ist besondere Vorsicht geboten, da diese oft große Datenmengen verarbeiten und intransparent arbeiten.

Das bedeutet: Alles, was ich bisher aufgeführt habe – Rechtsgrundlage, AVV, Drittlandübermittlung – gilt genauso für KI-Tools wie für jede andere Software.

Der EU AI Act: Das erste KI-Gesetz der Welt

Europa hat reagiert und ein eigenes KI-Gesetz geschaffen. Der EU AI Act ist seit August 2024 in Kraft und verfolgt einen risikobasierten Ansatz – je gefährlicher ein KI-System eingestuft wird, desto strenger die Anforderungen.

Die wichtigsten Stufen im Überblick:

Seit Februar 2025 sind bestimmte KI-Systeme in der EU vollständig verboten, wie z. B. Social Scoring, manipulative KI und biometrische Echtzeit-Fernidentifikation. Seit August 2025 müssen Anbieter von allgemeinen KI-Modellen wie ChatGPT, Gemini oder Claude ihre Trainingsdaten dokumentieren und mit dem EU AI Office kooperieren. Ab August 2026 gelten strenge Dokumentations- und Überwachungspflichten für sogenannte Hochrisiko-KI-Systeme, etwa im Personalwesen oder bei der Kreditvergabe.

Was bedeutet das für Claude und andere Chatbots?

KI-Modelle mit allgemeinem Verwendungszweck wie ChatGPT, Gemini oder Claude unterliegen seit August 2025 besonderen Transparenz- und Urheberrechtsvorschriften. Anbieter müssen offenlegen, mit welchen Daten ihre Modelle trainiert wurden. Data-unplugged

Für uns als Nutzerinnen bedeutet das: Wir dürfen erwarten, transparenter informiert zu werden – darüber, wie unsere Daten verwendet werden und wie das Modell trainiert wurde.

Ergänzen sich DSGVO und AI Act – oder widersprechen sie sich?

Der AI Act (bzw. KI-Verordnung) ersetzt nicht die DSGVO, sondern ergänzt sie. Beide Regelwerke müssen gleichzeitig beachtet werden. Während die DSGVO personenbezogene Daten schützt, reguliert der AI Act KI-Systeme als Technologie. Für normale Bloggerinnen wie dich und mich bedeutet das vor allem: Die Anforderungen werden nicht weniger, sondern mehr.

Die Gesetzgebung ist noch nicht KI-ready

Die DSGVO bietet einen soliden Rahmen für personenbezogene Daten im digitalen Prä-KI-Zeitalter, war aber nicht für die Welt generativer KI gedacht. Ein konkretes Problem: Wenn Daten einmal ins Training eines Sprachmodells eingeflossen sind, ist ein vollständiges Löschen (wie es das DSGVO-Recht auf Vergessenwerden eigentlich vorsieht) technisch kaum möglich. Hier klaffen Gesetz und Realität noch auseinander.

Der EU AI Act schließt einige dieser Lücken, aber er rollt erst schrittweise bis 2027 aus. Wir befinden uns also gerade in einer Übergangsphase, in der die Technologie der Gesetzgebung davongaloppiert.

Was das für dich bedeutet

Als Nutzerin von KI-Tools bist du nicht allein mit diesen Fragen. Die Regeln werden klarer, aber es braucht noch Zeit. Was du jetzt tun kannst: bewusst mit deinen Daten umgehen, die Einstellungen deiner KI-Tools prüfen und im Zweifel weniger statt mehr eingeben.

Mein Fazit: Claude und Datenschutz – kein Widerspruch, aber Sorgfalt ist gefragt

Anthropic ist kein obskurer Akteur, sondern ein reguliertes Unternehmen mit klaren Datenschutzrichtlinien. Aber wie bei jedem digitalen Tool gilt: Bewusstsein darüber, was du eingibst, ist die beste Datenschutzmaßnahme. Mit den richtigen Maßnahmen, also einem AVV, der Opt-out-Option beim Training, einer angepassten Datenschutzerklärung und dem bewussten Umgang mit sensiblen Daten, kannst du Claude DSGVO-konform einsetzen.

Meine wichtigsten Empfehlungen auf einen Blick:

  • Gib keine personenbezogenen Kundendaten in Claude ein, ohne vorher die Rechtsgrundlage zu klären. Vermeide die Eingabe von besonders sensiblen Daten (Gesundheit, Biometrie etc.) ohne ausdrückliche Einwilligung und entsprechende Schutzmaßnahmen.
  • Nutze für den geschäftlichen Einsatz die Business-/API-Version und schließe einen AVV mit Anthropic ab (möglich mit einem Team-Plan ab 5 Personen für derzeit 125 Dollar pro Monat).
  • Aktiviere in deinen Kontoeinstellungen den Opt-out vom Modelltraining.
  • Passe deine Datenschutzerklärung an und informiere deine Kunden transparent.
  • Überlege dir, ob du deine Kommentarfunktion deaktivierst und bestehende Kommentare löschst. Das wäre eine der wirkungsvollsten Maßnahmen, um dein Datenschutzrisiko deutlich zu reduzieren.